対象試験と出題頻度
システム監査の午後問題を読んでいると、「予防的コントロール」「発見的コントロール」といった言葉が当たり前のように登場します。午前問題でも「コントロール可能なリスクはどれか」という形で問われるのに、そもそも”コントロール”自体の定義があいまいなまま解いていませんか。
この用語は応用情報技術者の午前・午後の両方に関わるシステム監査分野の基盤概念です。令和5年に改訂されたシステム監査基準では、監査の対象が「ガバナンス・マネジメント・コントロール」の3視点に整理され、改めて注目度が上がっています。
対象試験と頻度をひらく
応用情報技術者
★★☆☆☆
ランクC(応用)余裕があれば覚える
用語の定義
コントロール(Control/統制)とは、一言で言うと
「リスクを管理するために組織が実施する、すべての管理手段」
のことです。
イメージとしては、「交通ルールのセット」です。
道路には「信号機(事故を未然に防ぐ)」「スピード違反カメラ(違反を検知する)」「レッカー移動(事後に対処する)」といった複数の仕掛けがあります。
これらはすべて交通事故というリスクに対する”コントロール”です。情報システムの世界でも、不正アクセスや入力ミスといったリスクごとに、組織的・技術的・物理的な管理手段を組み合わせて対処します。
📊 コントロール(統制)の基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | Control |
| 日本語表記 | 統制、管理策(文脈により使い分けられる) |
| 位置づけ | システム監査基準(令和5年)における3つの監査対象の1つ(ガバナンス・マネジメント・コントロール) |
| 手法別の分類 | 予防的・発見的・是正的(訂正的)の3種類 |
| 範囲別の分類 | IT全般統制(ITGC)・IT業務処理統制(ITAC) |
解説
情報システムにはさまざまなリスクがつきまといます。
不正アクセス、入力ミス、プログラム改ざん、データ消失。どれか1つでも顕在化すれば業務に深刻な影響が出ます。
こうしたリスクに対して「何もせず祈る」のではなく、具体的な手段で発生確率や影響度を下げる。
その手段の総称がコントロールです。
手法別3分類:予防的・発見的・是正的
コントロールは「いつ効力を発揮するか」で3つに分類されます。
応用情報の午後問題では、問題文の施策がどの分類にあたるかを見極める力が直接問われます。
コントロールの3分類とリスク発生の時間軸
予防的コントロール
Preventive
🛡️
リスク発生前に
未然に防ぐ
発見的コントロール
Detective
🔍
リスク発生時に
早期検知する
是正的コントロール
Corrective
🔧
リスク発生後に
被害を復旧する
▲ 時間軸の左(事前)→ 右(事後)に対応。3種類を組み合わせることで防御の穴を埋める
| 分類 | IT分野での具体例 | 日常の例え |
|---|---|---|
| 予防的 | アクセス権限の設定、パスワードポリシー、変更管理における承認フロー、職務分掌 | 信号機・速度制限標識 |
| 発見的 | ログの監視・照合、例外処理レポートの確認、侵入検知システム(IDS) | スピード違反カメラ・監視カメラ |
| 是正的 | バックアップからの復旧、障害時の代替処理への切替、インシデント対応手順の実行 | 消火器・レッカー移動 |
範囲別の分類:IT全般統制とIT業務処理統制
コントロールは手法だけでなく「どの範囲に効くか」でも区分されます。
内部統制のIT統制で登場するIT全般統制(ITGC)とIT業務処理統制(ITAC)がこれにあたります。
IT全般統制とIT業務処理統制の守備範囲
IT全般統制(ITGC)
システム基盤全体を支える管理策
・開発と変更の管理
・アクセス権限の管理
・サーバ室の入退室管理
・バックアップ運用
IT業務処理統制(ITAC)
個々の業務処理の正確性を保証する管理策
・入力データのバリデーション
・エラーデータの自動検出
・二重入力の防止
・合計値の照合チェック
※ ITGCが崩れるとITACも機能しなくなるため、ITGCはITACの前提条件にあたる
ガバナンス・マネジメントとの位置関係
令和5年改訂のシステム監査基準では、監査対象を「ガバナンス」「マネジメント」「コントロール」の3層で整理しています。
上位から方針→運営→具体的手段、という階層になっており、コントロールは最も現場に近い層です。
| 視点 | 何を扱うか | 監査での検証例 |
|---|---|---|
| ガバナンス | 組織目標の達成を確実にする仕組み(ステークホルダ対応・評価・指示・モニタ) | IT投資が適切なリターンを生んでいるか |
| マネジメント | ガバナンスの方針に沿った計画・構築・運営・監視 | セキュリティ対策がPDCAで回っているか |
| コントロール | リスクを管理するための具体的な管理手段 | 異常アクセス検出時に適時に対処・報告されているか |
ポイント整理(3行で把握)
・コントロール=リスク管理のための具体的な手段(組織的・技術的・物理的)
・手法別に予防的/発見的/是正的の3種類、範囲別にIT全般統制/IT業務処理統制
・システム監査基準ではガバナンス→マネジメント→コントロールの3層構造で整理される
試験ではこう出る!
コントロールそのものを正面から定義させる問題は多くありません。
むしろ「具体的な施策がどの分類か」「あるリスクに有効な管理策はどれか」という応用型で出ます。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| AP R7秋 午前 問60 |
ガバナンス・マネジメント・コントロールの視点から行う検証項目を選ぶ問題 | ・「異常アクセスの対処・報告」がコントロールの視点 ・IT投資のリターン(ガバナンス)やPDCA(マネジメント)がひっかけ |
| AP H29春 午前 問60 |
アクセスコントロール機能でコントロール可能なリスクを選ぶ問題 | ・正解は「ファイル・データ内容の改ざん」 ・盗聴(暗号化で対応)や物理的破壊(入退室管理で対応)は対象外 |
| AP H25春 午前 問60 |
特権IDの不正使用を「発見する」コントロールを選ぶ問題 | ・正解は「貸出し管理簿とログの照合」 ・他3つは予防的コントロールのため除外 |
| AP H26春 午前 問59 |
スプレッドシートの正確性に関わるコントロールの監査チェックポイントを選ぶ問題 | ・正解は「プログラム内容が文書化され検証されていること」 ・作成者=利用者が同一は逆にリスク |
📝 出題パターンの傾向
パターン1:「この施策は予防的?発見的?」
選択肢に4つの施策が並び、問題文で指定された分類に合致するものを1つ選ぶ形式。H25春 問60のように「発見するコントロール」と聞かれたら、ログ照合・例外レポートなど”検知”に該当する選択肢を探す。権限設定や承認フローは予防的なので除外する。
パターン2:「このリスクに有効な管理策はどれか」
H29春 問60のように、特定の管理策(アクセス制御)が対処できるリスクを問う形式。管理策の守備範囲を理解していないと、盗聴や物理的破壊を選んでしまう。
パターン3:「3視点(ガバナンス/マネジメント/コントロール)の振り分け」
R7秋 問60で新たに登場した形式。令和5年改訂の監査基準を反映しており、今後も出題が続く可能性が高い。コントロールの視点=「具体的なリスク管理手段が機能しているか」と覚えておけば迷わない。
【確認テスト】理解度チェック
Q. 特権IDの不正使用を「発見する」ためのコントロールとして、最も適切なものはどれでしょうか?
- A. 特権IDの使用を許可された者も、通常の操作では一般利用者IDを使用するルールにする。
- B. 特権IDの設定内容や使用範囲を、用途に応じて最小限の権限に細分化する。
- C. 特権IDの貸出し及び返却の管理簿と、特権IDの操作ログを定期的に照合する。
正解と解説を見る
正解:C
解説:
管理簿の貸出し記録と実際の操作ログを突き合わせることで、「申請なく使われた形跡」や「申請内容と異なる操作」を検出できます。これは事後的に不正の痕跡を見つけ出す発見的コントロールに該当します。
選択肢Aは、普段の業務で特権を使わせない運用ルールであり、不正使用の機会を事前に減らす予防的コントロールです。選択肢Bは、権限を最小限に抑える「最小権限の原則」に基づく設定であり、こちらも被害範囲の拡大を事前に制限する予防的コントロールです。
よくある質問(FAQ)
Q. 「コントロール」と「管理策」は同じ意味ですか?
ほぼ同義です。IPA試験やシステム監査基準では「コントロール(統制)」、情報セキュリティの文脈(ISO/IEC 27001やNISTなど)では「管理策(Controls)」と呼ばれることが多く、指している内容は同じ「リスク管理のための具体的手段」です。試験の問題文ではどちらの表記も使われるため、両方の呼び名に慣れておいてください。
Q. 「是正的コントロール」と「補正的コントロール」は違うものですか?
基本的に同じ概念です。英語では Corrective Control が正式名称ですが、和訳時に「是正的」「訂正的」「補正的」と訳語が分かれています。CISA(公認情報システム監査人)の教材では「Corrective」に加えて「Directive(指示的)」というカテゴリを独立させる場合もありますが、IPA試験の範囲では「予防」「発見」「是正」の3分類を押さえておけば十分です。
Q. 実務では3分類のどれが一番重視されますか?
一般的には予防的コントロールが最優先とされます。リスクが顕在化する前に防ぐのが最もコストが低く、被害もゼロで済むためです。ただし、予防だけで100%防ぐことは不可能なので、発見的コントロール(ログ監視や異常検知)を組み合わせて早期検知し、さらに是正的コントロール(復旧手順やインシデント対応)で被害を最小化する——この三層で守るのが実務の基本設計です。
Q. 午後のシステム監査問題で「予防的・発見的」の区別を聞かれたとき、判定のコツはありますか?
施策の文章を読んだら、「この手段はリスクが起きる”前”に効くか、起きた”後”に効くか」を自問してください。「承認する」「権限を制限する」「分離する」は事前に効くので予防的です。「照合する」「ログを確認する」「レポートを確認する」は事後に痕跡を拾うので発見的です。AP H25秋 午後問11(プログラムの変更管理に関する監査)では、まさにこの「変更者以外が本番に反映する=予防」「本番環境のバージョンを台帳と照合する=発見」という区分けが設問のキーになりました。
